В журнате Windows 2012 R2 x64 была обнаружена следующая ошибка:
Имя журнала: System
Источник: Microsoft-Windows-DistributedCOM
Дата: 30.04.2015 16:13:50
Код события: 10016
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: СИСТЕМА
Компьютер: choster.rcsc.could
Описание:
Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
и APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2015-04-30T13:13:50.218876200Z" />
<EventRecordID>15637</EventRecordID>
<Correlation />
<Execution ProcessID="820" ThreadID="6088" />
<Channel>System</Channel>
<Computer>choster.rcsc.could</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="param1">для конкретного приложения</Data>
<Data Name="param2">Локально</Data>
<Data Name="param3">Активация</Data>
<Data Name="param4">{D63B10C5-BB46-4990-A94F-E40B9D520160}</Data>
<Data Name="param5">{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}</Data>
<Data Name="param6">NT AUTHORITY</Data>
<Data Name="param7">СИСТЕМА</Data>
<Data Name="param8">S-1-5-18</Data>
<Data Name="param9">LocalHost (с использованием LRPC)</Data>
<Data Name="param10">Недоступно</Data>
<Data Name="param11">Недоступно</Data>
</EventData>
</Event>
По CLSID через реестр мы определили что приложение C:\Windows\System32\RuntimeBroker.exe
Решение (непроверенное) навеяно http://www.lectussoft.com/manual/ManualServer/ConfigDCOM.html
1.Запускаем под адиминистратором утилиту dcomcnfg
2.На "Мой компьютер" - Свойства - Вкладка "Безопасность COM" - Даем все "Права доступа" и "Разрешения на запуск и активацию" пользователю NT AUTHORITY\СИСТЕМА
Имя журнала: System
Источник: Microsoft-Windows-DistributedCOM
Дата: 30.04.2015 16:13:50
Код события: 10016
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: СИСТЕМА
Компьютер: choster.rcsc.could
Описание:
Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
и APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2015-04-30T13:13:50.218876200Z" />
<EventRecordID>15637</EventRecordID>
<Correlation />
<Execution ProcessID="820" ThreadID="6088" />
<Channel>System</Channel>
<Computer>choster.rcsc.could</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="param1">для конкретного приложения</Data>
<Data Name="param2">Локально</Data>
<Data Name="param3">Активация</Data>
<Data Name="param4">{D63B10C5-BB46-4990-A94F-E40B9D520160}</Data>
<Data Name="param5">{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}</Data>
<Data Name="param6">NT AUTHORITY</Data>
<Data Name="param7">СИСТЕМА</Data>
<Data Name="param8">S-1-5-18</Data>
<Data Name="param9">LocalHost (с использованием LRPC)</Data>
<Data Name="param10">Недоступно</Data>
<Data Name="param11">Недоступно</Data>
</EventData>
</Event>
По CLSID через реестр мы определили что приложение C:\Windows\System32\RuntimeBroker.exe
Решение (непроверенное) навеяно http://www.lectussoft.com/manual/ManualServer/ConfigDCOM.html
1.Запускаем под адиминистратором утилиту dcomcnfg
2.На "Мой компьютер" - Свойства - Вкладка "Безопасность COM" - Даем все "Права доступа" и "Разрешения на запуск и активацию" пользователю NT AUTHORITY\СИСТЕМА
На Win10 x64 в журнале тоже вижу аналогичные ошибки. Брокера тоже уже сам вычислил, по описанию в сети это какое-то приложение для запуска метро-приложений винды еще со времен 8-ки. А вот стоит ли давать "СИСТЕМЕ" доступ на всё я так и не понял. У меня там есть локальный доступ, но отключен удаленный. Судя по ошибке есть попытка ломиться к локалхосту и это расценивается, наверно, как удаленный доступ и брокер получает отлуп и спамит в журнал. Как-то так.
ОтветитьУдалитьЭтот комментарий был удален автором.
УдалитьДобрый день, а какие риски доступа системы к удаленному "Безопасность COM"?
УдалитьWindows 10 рулит?
ОтветитьУдалить